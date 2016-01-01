Как создать пользователя AWS IAM и бакет S3

В этом руководстве показано, как создать пользователя IAM и бакет S3 в AWS — это необходимый предварительный шаг для резервного копирования в S3 или настройки ClickHouse для хранения данных в S3

В этой процедуре мы создадим служебную учетную запись (service account), а не пользователя для интерактивного входа.

Войдите в консоль управления AWS IAM (AWS IAM Management Console). На вкладке Users выберите Create user .

Введите имя пользователя.

Выберите Next .

Выберите Next .

Выберите Create user .

Пользователь создан. Нажмите на вновь созданного пользователя.

Выберите Create access key .

Выберите Application running outside AWS .

Выберите Create access key .

Загрузите свой access key и secret в виде файла .csv для последующего использования.

В разделе бакетов S3 выберите Create bucket

Введите имя бакета, остальные параметры оставьте по умолчанию

Примечание Имя бакета должно быть уникальным во всём AWS, а не только внутри вашей организации, иначе будет выдана ошибка.

Оставьте параметр Block all Public Access включённым; публичный доступ не требуется.

Внизу страницы выберите Create Bucket

Перейдите по ссылке, скопируйте ARN и сохраните его для использования при настройке политики доступа для бакета

После создания бакета найдите новый бакет S3 в списке S3 buckets и выберите его имя, чтобы перейти на страницу, показанную ниже:

Выберите Create folder Введите имя папки, которая будет целевым расположением для S3-диска ClickHouse или резервных копий, и выберите Create folder внизу страницы

Папка теперь должна отображаться в списке объектов бакета

Установите флажок для новой папки и нажмите Copy URL . Сохраните URL для использования в конфигурации хранилища ClickHouse в следующем разделе.

Перейдите на вкладку Permissions и нажмите кнопку Edit в разделе Bucket Policy

Добавьте политику для бакета, пример приведён ниже

{ "Version": "2012-10-17", "Id": "Policy123456", "Statement": [ { "Sid": "abc123", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::782985192762:user/docs-s3-user" }, "Action": "s3:*", "Resource": [ "arn:aws:s3:::ch-docs-s3-bucket", "arn:aws:s3:::ch-docs-s3-bucket/*" ] } ] }

Примечание Приведённая выше политика позволяет выполнять любые операции с бакетом.

Параметр Описание Пример значения Version Версия интерпретатора политики, оставьте как есть 2012-10-17 Sid Определяемый пользователем идентификатор политики abc123 Effect Разрешаются или запрещаются запросы пользователя Allow Principal Учетные записи или пользователи, которым будет разрешён доступ arn:aws:iam::782985192762 :user /docs-s3-user Action Какие операции разрешены для бакета s3:* Resource К каким ресурсам в бакете будут разрешены операции "arn:aws:s3:::ch-docs-s3-bucket", "arn:aws:s3:::ch-docs-s3-bucket/*"

Примечание Совместно с вашей командой по безопасности определите, какие разрешения использовать; рассматривайте приведённые выше как отправную точку. Для получения дополнительной информации о политиках и настройках см. документацию AWS: https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-policy-language-overview.html